मैं वर्षों से IPsec VPN का निर्माण कर रहा हूं, लेकिन ईमानदार होने के लिए मैंने IKE और ISAKMP के बीच तकनीकी अंतर को पूरी तरह से नहीं समझा है। मैं अक्सर दो शब्दों को परस्पर विनिमय करते हुए (शायद गलत तरीके से) देखता हूं।
मैं IPsec के दो बुनियादी चरणों को समझता हूं और यह कि ISAKMP मुख्य रूप से चरण एक के साथ काम करता है। उदाहरण के लिए, IOS कमांड "शो क्रिप्टो isakmp सा" IPsec चरण एक जानकारी प्रदर्शित करता है। लेकिन IKE के लिए कोई समतुल्य कमांड नहीं है।
जवाबों:
ISAKMP IKE का हिस्सा है। (IKE में ISAKMP, SKEME और OAKLEY है)। आईकेई साझा सुरक्षा नीति और प्रमाणित कुंजी स्थापित करता है। ISAKMP वह प्रोटोकॉल है जो कुंजी विनिमय के यांत्रिकी को निर्दिष्ट करता है।
भ्रम की स्थिति, (मेरे लिए) यह है कि सिस्को में IOS ISAKMP / IKE का उपयोग उसी चीज को संदर्भित करने के लिए किया जाता है। जिससे मेरा मतलब है, मेरी समझ यह है कि सिस्को के IKE केवल ISAKMP का उपयोग / उपयोग करते हैं। तो एक IKE को कॉन्फ़िगर करता है, और फिर वैचारिक रूप से उसके अंदर, एक ISAKMP को कॉन्फ़िगर करता है।
कृपया जाँच करें कि क्या यह मदद करता है, मुझे पता है कि मुझे देर हो चुकी है :)
हां, यह विकिपीडिया लेख, इंटरनेट सुरक्षा एसोसिएशन और कुंजी प्रबंधन प्रोटोकॉल से है , लेकिन मैंने विकी / आरएफसी के बारे में अब तक कोई संदर्भ नहीं देखा है।
ISAKMP संचारक सहकर्मी, निर्माण और सुरक्षा संघों के प्रबंधन, प्रमुख पीढ़ी की तकनीकों और खतरे के शमन (जैसे सेवा से इनकार और हमलों को अस्वीकार) के लिए प्रक्रियाओं को परिभाषित करता है। एक रूपरेखा के रूप में, ISAKMP का उपयोग आम तौर पर कुंजी विनिमय के लिए IKE द्वारा किया जाता है, हालांकि अन्य तरीकों को लागू किया गया है जैसे कि Kerberized Internet Negotiation of Keys। इस प्रोटोकॉल का उपयोग करके एक प्रारंभिक एसए बनाया जाता है; बाद में एक ताजा कुंजीयन किया जाता है।
ISAKMP सुरक्षा संघों को स्थापित करने, बातचीत करने, संशोधित करने और हटाने के लिए प्रक्रियाओं और पैकेट स्वरूपों को परिभाषित करता है। एसएएस में विभिन्न नेटवर्क सुरक्षा सेवाओं के निष्पादन के लिए आवश्यक सभी जानकारी होती है, जैसे कि आईपी परत सेवाएं (जैसे हेडर प्रमाणीकरण और पेलोड एनकैप्सुलेशन), परिवहन या एप्लिकेशन परत सेवाएं या बातचीत ट्रैफ़िक का आत्म-संरक्षण। ISAKMP प्रमुख पीढ़ी और प्रमाणीकरण डेटा के आदान-प्रदान के लिए पेलोड को परिभाषित करता है। ये प्रारूप कुंजी और प्रमाणीकरण डेटा स्थानांतरित करने के लिए एक सुसंगत ढांचा प्रदान करते हैं जो प्रमुख पीढ़ी की तकनीक, एन्क्रिप्शन एल्गोरिथ्म और प्रमाणीकरण तंत्र से स्वतंत्र है।
ISAKMP कुंजी विनिमय प्रोटोकॉल से अलग होता है ताकि कुंजी विनिमय के विवरण से सुरक्षा संघ प्रबंधन (और प्रमुख प्रबंधन) के विवरणों को स्पष्ट रूप से अलग किया जा सके। कई अलग-अलग कुंजी विनिमय प्रोटोकॉल हो सकते हैं, प्रत्येक अलग-अलग सुरक्षा गुणों के साथ। हालाँकि, SA विशेषताओं के प्रारूप से सहमत होने और SAs पर बातचीत, संशोधन और हटाने के लिए एक सामान्य ढांचे की आवश्यकता होती है। ISAKMP इस सामान्य ढांचे के रूप में कार्य करता है।
ISAKMP को किसी भी परिवहन प्रोटोकॉल पर लागू किया जा सकता है। सभी कार्यान्वयन में पोर्ट 500 पर यूडीपी का उपयोग करके ISAKMP के लिए भेजने और प्राप्त करने की क्षमता शामिल होनी चाहिए।
व्यावहारिक रूप से बोलना - IKE, इंटरनेट कुंजी विनिमय (IKE), इंटरनेट सुरक्षा एसोसिएशन कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) का पर्याय है।